Sandworm:

Sandworm (cuya traducción es gusano de arena) es un grupo de hackers

acusado de la realización de diversos ataques cibernéticos, mediante campañas
maliciosas y la utilización de malwares, contra lo sistemas informáticos de
instituciones públicas y privadas en diversos países, como ucrania, Polonia y
Francia.

El Departamento de Justicia de los Estados Unidos indicó que Sandworm es

operada por la Unidad Militar 74455, una unidad de guerra cibernética del
Servicio de Inteligencia Militar de Rusia GRU (que en 2010 pasó a llamarse
Dirección General -GU-), que se encarga de realizar ataques a objetivos
particulares en base a los intereses rusos. Se suele indicar que el grupo se vale
de sistemas de amenaza persistente avanzada (Advanced Persistent Threat), es
decir que se vale de un conjunto de procesos informáticos sigilosos, con
capacidad para atacar de forma avanzada y continua a un objetivo
determinado, al aprovecharse de los Exploits en su sistema informático.

Tales ataques, fueron en gran medida llevados adelante mediante una

herramienta llamada Black Energy, un malware para propósitos múltiples, con
la que entre otras cosas atacan sistemas de control industrial, asociados con la
generación de energía. Los ataques suelen girar tanto en torno a actividades de
espionaje, denegación de servicio DDoS, y destrucción de información.

En tal sentido, el Departamento de Justicia de los Estados Unidos habría

identificado a varios presuntos miembros de la Unidad 74455, consistentes en:
Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich
Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko, Petr
Nikolayevich Pliskin, Aleksandr Vladimirovich Osadchuk, Aleksey
Aleksandrovich Potemkin y Anatoliy Sergeyevich Kovalev.
También se ha identificado a dicho grupo como Telebots, Voodoo Bear, Iron
Viking, TeleBots y GreyEnergy, Quedagh, TEMP.Noble, IRON VIKING, G0034,
ELECTRUM, IRIDIUM, Blue Echidna y FROZENBARENTS.

Resulta interesante destacar que el nombre “Sandworm” fue elegido por

investigadores de la compañía de inteligencia de amenazas iSIGHT Partners,
luego de que en 2014 descubrieran en los binarios del malware BlackEnergy
dirigidos a Ucrania y Polonia, al verificarse referencias en el código malicioso
utilizado las cuales hacían alusión a términos utilizados en la saga de ciencia
ficción Dune del escritor Frank Herbert, entre las que se encontraron las
siguientes: “arrakis02” (nombre del planeta de Dune), houseatreides94
(nombre de la familia que gobernó Dune), BasharoftheSardaukars (referencia al
líder de las unidades especiales del ejército imperial), y otras referencias
conocidas en las novelas en cuestión como SalusaSecundus2,
y epsiloneridani0.

Cabe destacarse que Sandworm es una de muchas organizaciones dedicadas a

las realización de ataques de guerra cibernética y ciberespionaje dependientes
del estado ruso, como por ejemplo DRAGONFLY, conocida también como
Energetic Bear o Crouching Yeti, que fue identificada como la Unidad 71330 de
la GRU, como así también de la Unidad 26165, de la Inteligencia Militar Rusa.

Diversos ataques relacionados a Sandworm.

Sandworm está detrás del primer ataque que vulnerar la red de electricidad de
Ucrania durante el conflicto con Rusia en el año 2015, actos que pueden ser
calificados como tácticas de ciberguerra, que incluso llegaron a impactar en la
capital del país, Kiev, en 2016. Tras ello, llegaron los ataques cibernéticos de
2017 en Ucrania utilizando el malware NotPetya, como así también acciones de
interferencia en las elecciones presidenciales francesas de 2017 y el
ciberataque a la ceremonia inaugural de los Juegos Olímpicos de Invierno de
2018 (Olympic destroyer)

En una entrevista publicada en la revista Wired,, un funcionario del

Departamento de Justicia de Estados Unidos indicó que dicha "Es
probablemente uno de los grupos de delincuentes informáticos más peligrosos
y agresivos que existen", apunta un funcionario del.

El sitio SocRadar, publicó que el Ukrainian Government Computer Emergency

Response Team (CERT-UA), habría denunciado ataques efectuados por
Sandworm, con la intención de destruir información de los servidores de
diversas instituciones públicas ucranianas, a explotar la falta de autenticación
multifactorial en cuentas de VPN, logrando así borrar archivos de equipos con
los sistemas operativos Windows y Linux, usando scrips de WinRAR.
En esa línea, se publicó parte del código malicioso utilizado:
Apagón del 23 de diciembre de 2015 en Ucrania:

Una investigación sobre el apagón del 23 de diciembre de 2015

en Ucrania muestra que el uso de BlackEnergy fue elemento crucial en el
sabotaje coordinado a diferentes empresas de servicio eléctrico de Ucrania al
dar acceso a los atacantes. Una vez adquirido el acceso, los atacantes
procedieron a cortar la electricidad, lanzaron un ataque de denegación de
servicio para impedir que llegaran los reportes de los usuarios e intentaron
dañar la configuración de los sistemas SCADA de manera de entorpecer la
reactivación del sistema eléctrico. Este apagón es el primero en el mundo que
ha sido documentado como producido con el uso de un malware.

KillDisk:

Desde 2014, se ha detectado el uso del componente KillDisk para destrucción

de archivos cambiando su contenido por datos aleatorios e intentando dejar el
equipo en un estado en el que no pueda reiniciarse. En los ataques
documentados, se ha encontrado una lista de tipos de archivo a destruir
específica a cada sector de actividad.

Puerta trasera SSH:

Una de las extensiones de BlackEnergy usadas en el ataque a las empresas del

sector eléctrico fue un servidor SSH, preparado para autentificar usuarios y
claves específicas predefinidas, y configurado para atender conexiones en un
puerto inusual, el cual permite a los atacantes conectarse libremente al equipo
afectado.